Com a aproximação da data de vigência da Lei Geral de Proteção de Dados, Lei 13.709/2018, os agentes de tratamento de dados, em especial as empresas privadas, começam a se movimentar cada vez mais para atender seus mandamentos. Neste cenário, um dos pontos de maior destaque é a necessidade de controladores e operadores indicarem quem será a pessoa, física ou jurídica, que ficará a cargo do tratamento dos dados pessoais na empresa. Isto é, quem será o Encarregado pelo tratamento de dados, chamado na legislação estrangeira de “Data Protection Officer”, o já famoso “DPO”. Sabendo disso, muitos dos players do mercado — sejam escritórios de advocacia ou empresas com foco em segurança da informação — têm divulgado seus serviços de “DPO as a Service”, ou seja, serviços de terceirização do Encarregado pelo tratamento de dados pessoais. Todavia, esta pode não ser a opção mais vantajosa para sua empresa.
A LGPD prevê, em seu art. 5°, VIII, que o Encarregado é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados”. Mais adiante, em seu art. 41, §2°, a Lei Geral de Proteção de Dados define as funções do Encarregado, quais sejam:
Art. 41, §2°, LGPD: As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Assim, além de o Encarregado servir de elo de comunicação entre os Titulares dos dados pessoais, agentes de tratamento de dados e Autoridade Nacional de Proteção de Dados, a LGPD determina expressamente que o Encarregado tem como atribuição a orientação dos prepostos da empresa quanto às práticas de proteção de dados a serem adotadas. Sem contar outras atribuições que poderão ser delimitadas pelo controlador dos dados e pela própria ANPD.
Mas não é só. As boas práticas internacionais indicam que o Encarregado também tem outras funções fundamentais para a criação e manutenção de uma cultura de proteção de dados e privacidade nas empresas:
- conduzir ou auxiliar na condução dos relatórios de impacto à proteção dos dados;
- participar de decisões estratégicas da empresa quanto a novos projetos, produtos e serviços;
- apoiar a conscientização e capacitação dos colaboradores quanto a importância da proteção dos dados pessoais e da garantia da privacidade, entre outros.
A partir destes esclarecimentos, questiona-se: será que a contratação de um “DPO as a service” é a melhor opção para sua empresa? Como sempre, a resposta é: depende. Mas há mais razões negativas do que positivas. Veja-se:
De um lado, a contratação de um Encarregado totalmente terceirizado, ou seja, do serviço de um Encarregado, pode ser vantajosa se, em um primeiro momento, vislumbrado o dispêndio financeiro imediato. Ora, a empresa não teria tantos custos quanto no caso da contratação de alguém para realizar esta tarefa internamente. Tampouco teria de dispender mais valores para montar uma equipe e viabilizar sua atividade. Assim, contrataria o serviço e repassaria a responsabilidade legal para o terceiro.
Tendo em vista a condição econômica do país, a inexistência de uma cultura de proteção de dados no Brasil e a proximidade da vigência da LGPD, é compreensível que as empresas pensem em adotar tal estratégia.
Analisando a questão a fundo, entretanto, resta evidente que a simples contratação de um Encarregado como serviço seria interessante tão somente a curto prazo, uma vez que a empresa ficaria sempre dependente da prestação desse serviço por terceiros.
Os ativos de informação, em especial os dados pessoais, têm ganhado cada vez mais importância no desenvolvimento da atividade econômica. De modo que a Lei Geral de Proteção de Dados não vem para ser mera ‘onda passageira’, assim como os projetos de adequação não têm um ‘final programado’. Essa é a razão pela qual as empresas, praticamente todas, devem, mais do que focar em atender a LGPD em agosto de 2020, entender que a proteção aos dados pessoais e consequentemente a privacidade são questões mandatórias para a continuidade dos negócios, bem como para seu pleno desenvolvimento.
Posto isso, a contratação do Encarregado como um serviço é contraproducente. Isso porque este não estará integrado à estrutura da empresa e, assim, não será capaz de agregar, efetivamente e à longo prazo, à cultura que deve ser adotada para evolução do negócio.
Então, melhor seria a contratação do que chamamos de “Operação Assistida”
Nesse caso, a empresa indica um Encarregado pelo tratamento de dados interno, isto é, dentro de sua própria estrutura, evitando dispêndios referentes à contratação de um novo profissional. Para viabilizar sua atividade como Encarregado, então, conta com a “Operação Assistida”, a qual tem como objetivo suportar as atividades e atribuições do Encarregado mediante assessoria especializada em Proteção de Dados e Privacidade.
Nesta modalidade de contratação, os ganhos para a empresa são infinitamente maiores
O primeiro ponto a ser destacado é a curva de aprendizado do profissional nomeado pela empresa. Diferentemente do Encarregado como serviço, a “Operação Assistida” serve para, a quatro mãos, prestar o apoio e assessoria para que o Encarregado da empresa atenda suas atribuições. Contribui assim para seu aprendizado sobre o tema, o que difere muito de ter um terceiro responsável por fazer todo o serviço.
Além disso, para o efetivo desempenho de suas funções, é recomendável que o Encarregado integre o alto escalão na estrutura organizacional da empresa. Afina, este é o responsável por orientar o tratamento de dados em todo o negócio, seja do core business, seja dos próprios colaboradores. Muitas vezes esse ira interferir em decisões de grande impacto ao negócio, o que jamais ocorreria com a sua completa terceirização.
A LGPD demanda, também, que as medidas para proteção de dados devem ser adotadas desde a concepção de projetos¹, produtos e/ou serviços, obrigação esta que se inicia com a vigência da lei, mas que não tem data para acabar. Assim, ao contratar a “Operação Assistida”, a empresa estará na verdade investindo em seu próprio futuro, uma vez adquirindo know-how em matéria de privacidade e proteção de dados.
A lista de vantagens é realmente extensa. O relatório de impacto à proteção de dados — processo fundamental para garantir a regularidade de certos tipos de atividade de tratamento de dados pessoais e que provavelmente será muito requisitado pela ANPD e pelo Poder Judiciário — depende, em grande parte, da participação do Encarregado e ter um profissional capaz de realizá-lo com qualidade pode ser um grande diferencial para a empresa.
Não bastasse isso, para o sucesso dos projetos de implementação ou adequação à LGPD, a empresa deve estar ciente que os esforços não se encerram em agosto de 2020, mas tão somente se iniciam, tratando-se de uma tarefa constante.
Assim, o ideal é que as empresas criem uma cultura de proteção de dados e respeito à privacidade, de modo que isso se torne uma constante do negócio — a famosa ideia de “privacidade como padrão” aplicada à prática. Mais uma vez, o Encarregado terceirizado em nada contribui com esta árdua tarefa. Isso porque se trata de profissional (ou profissionais) sem qualquer ligação com a empresa, sem conhecimento de sua realidade, de seus colaboradores, de sua missão, visão e valores. Na “Operação Assistida”, entretanto, aproveita-se a participação do Encarregado interno, especialmente aquele de alto escalão organizacional, de modo a ampliar a importância do tema.
Cita-se, ainda, a contribuição para a imagem da empresa. A LGPD demanda que a identificação e os contatos do Encarregado sejam indicados de forma publica. Momento esse em que a empresa que conta com um mero Encarregado como serviço demonstrará para seus consumidores, clientes e parceiros que a privacidade não é tão importante a contar com um profissional de sua estrutura, mas apenas mais uma comodity. Diferentemente, a “Operação Assistida” demonstra claramente a importância que os dados pessoais têm para a empresa, o quanto a privacidade é valorizada pela companhia, servindo assim de um agregador à sua imagem institucional.
Enfim, as vantagens de tornar a proteção de dados pessoais e a privacidade dos seus Titulares ativos de importância de sua empresa são cada vez maiores. É a razão pela qual a terceirização de uma tarefa tão importante pode não ser o ideal, sendo preferível “ensinar a pescar”, do que simplesmente “dar o peixe”.
¹ Art. 46, §2°, da LGPD